Обновления PAM: многодоменность, шлюз RDP, разные уровни доступа, изменения в интерфейсе — Контур.Эгида

В этой статье

Обновления PAM: многодоменность, шлюз RDP, разные уровни доступа, изменения в интерфейсе

23 апреля 2026

Обновления позволяют интегрировать PAM с многодоменной AD, подключаться к машинам под управлением Windows без шлюза RDG и получать логи без использования агентов, настраивать разные уровни доступа при подключении по SSH-протоколу.

Фотография Любовь Смирнова Любовь Смирнова Менеджер продукта

Многодоменность

PAM интегрируется с Active Directory, что позволяет автоматически настраивать доступы в PAM для определенных групп пользователей AD. Раньше такая интеграция позволяла  «подтягивать» пользователей только из одного домена AD. Теперь сервис умеет работать с многодоменной структурой.

Домены в Active Directory (AD) нужны для централизованного управления пользователями, компьютерами и безопасностью в сети. Они объединяют ресурсы в единую логическую структуру, позволяя администраторам применять общие правила (Group Policy), делегировать права и обеспечивать доступ к общим файлам и принтерам с одного логического узла. 

Например, разные домены могут использоваться для разных филиалов, отделов или групп сотрудников.

Теперь администратор может «подтянуть» из различных доменов AD пользователей, их авторизационные данные, почту и группы. Это позволяет экономить время IT- или ИБ-специалиста при настройке сервиса. 

Подключение по RDP без агентов и сторонних компонентов

Пользователи PAM могут подключаться к машинам под управлением Windows через Nachos, отдельный шлюз собственной разработки Контура. Раньше для RDP-подключения нужно было устанавливать агентов на рабочие компьютеры и настраивать RDG-шлюз.

Nachos — это компонент PAM,  набор инфраструктурных сервисов собственной разработки, реализующих контролируемый доступ пользователей к ресурсам прямо из окна браузера. Реализована поддержка web-ресурсов по протоколу HTTP и безагентское подключение по RDP (WebRDP). Название-акроним, расшифровывается как Network Access Connection Handling & Orchestration Service.

WebRDP-шлюз выступает в роли прокси-сервера между рабочими станциями пользователей и серверами компании. На нем происходит аутентификация пользователей, видео- и текстовое логирование. 

Использование RDP-шлюза позволяет отказаться от RDG, который работает только на серверах с Windows и не подходит компаниям, выбирающим серверы и рабочие станции на Linux, а также считается менее безопасным решением, чем другие шлюзы. 

Также новый шлюз позволяет отказаться от установки агентов, что экономит ресурсы системных администраторов.

Настройка уровней доступа по SSH-протоколу

В PAM при входе пользователя на ресурсы компании используется подменная учетная запись. Это позволяет не раскрывать пароль от привилегированной учетной записи пользователю при подключении к ресурсам, что соответствует принципу минимального доверия. 

Раньше можно было использовать подменную учетную запись только с SUDO-правами. Это не решало проблему ограничения прав пользователя. 

Теперь администратор при выдаче доступов к ресурсам может выбрать, к каким ресурсам пользователь будет подключаться с sudo-правами, а к каким с common.

Черный список команд для конкретных ролей

Черный список команд позволяет ограничить ввод определенных команд на серверах компании под управлением Linux. Раньше такой список был общим для всех пользователей, теперь его можно настраивать для конкретной роли. Например, в роли «разработчик» пользователь может заходить на определенные серверы с SUDO-правами, но иметь ограничение на ввод определенных команд. При этом на другие серверы этот пользователь может попасть только в роли «пользователь» с общими правами и более широкими ограничениями по черному списку команд.

Гибкие настройки ролевого доступа позволяют четче следовать политикам безопасности компании и уменьшают риски несанкционированных действий и человеческих ошибок.

Изменения в интерфейсе

Добавили в панели управления возможность настраивать компоненты PAM. Раньше это можно было сделать только через конфигурационные файлы, что требовало лишних затрат со стороны системного администратора.

Теперь в панели управления можно выбрать любой компонент (SSH, RDP и другие) и прописать те или иные параметры в нужных полях. 

Фотография Любовь Смирнова Любовь Смирнова Менеджер продукта
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться